【賽門鐵克】諾頓病毒週報

Trojan.Downexec家族的最新變種會將自己拷貝到Temp目錄下並重新命名為explorer.exe，和平常常用的檔案總管名稱完全一樣。偽裝為explorer檔的病毒啟動後，會釋放惡意文件pcidump.sys，並啟動一個執行檔用來監控Windows檔案保護視窗，一旦找到就將其關閉，使用戶無法通過這種途徑將系統檔案還原。病毒還會修改Hosts檔以阻止電腦對某些網站的訪問。
諾頓病毒週報 2009年6月2日  (作者：賽門鐵克中國安全回應中心)
病毒名稱：Trojan.Downexec
病毒類型：木馬
受影響的作業系統：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析：
Trojan.Downexec家族的最新變種會將自己拷貝到Temp目錄下並重新命名為explorer.exe，和平常常用的檔案總管名稱完全一樣。偽裝為explorer檔的病毒啟動後，會釋放惡意文件pcidump.sys，並啟動一個執行檔用來監控Windows檔案保護視窗，一旦找到就將其關閉，使用戶無法通過這種途徑將系統檔案還原。病毒還會修改Hosts檔以阻止電腦對某些網站的訪問。
另外，病毒會感染硬碟上滿足過濾條件的.html和.exe檔，感染後的檔在運行時都會下載並執行惡意程式碼。被感染的.exe檔會變大，增加的內容就是執行下載功能的惡意程式碼，賽門鐵克安全回應中心已將被此類被感染的文件命名為Trojan.Downexec.D!inf。
該病毒變種通過將自身拷貝到存放裝置的每個分區並寫入對應的autorun.inf檔的方式傳播。此外，為了躲避防毒軟體的掃描，它還會週期性的去嘗試下載最新的病毒版本。

諾頓安全專家建議：
使用正版防毒軟體，並時常更新病毒定義檔，以有效保護電腦免受變化多端的病毒攻擊。
關閉作業系統的「自動運行」功能。